Van prostituees tot Belgische pensionado's: in het privacyschendende RAM-systeem van de Belastingdienst behoudt de willekeurOnderzoek

Fiscale controle Voor toezicht op belastingbetalers was het RAM-systeem van de Belastingdienst cruciaal. Maar de controle over de beveiliging was vrijwel uitgesloten. Donderdag debatteert de Tweede Kamer over de situatie bij de dienst.

• Auteurs
  • Stefan Vermeulen
  • en Derk Stokmans
• Gepubliceerd op12 maart 2025 om 22:30

Medewerkers van de Belastingdienst geselecteerden Chinese en Turkse ondernemers voor een fiscale controle, omdat „werd aangenomen” dat zij vaak een foute aangifte doen van illegale immigranten in dienst hebben. Als bijdrage aan „het Italiaanse-maffia-analyseteam” worden de Nederlandse Italianen en koppelden hun namen aan politiesystemen geselecteerd. De medewerkers vragen informatie over de tweede nationaliteit van belastingbetalers „ter beeldvorming over een persoon”. Er werd ook „regelmatig” op postcode geselecteerd, om zo groepen belastingplichtigen in bepaalde buurten in zicht te krijgen.

De Belastingdienst akte dit vanaf 1998 met het zelfgebouwde computersysteem RAM ('Risico Analyse Model'). In dat systeem was alle informatie binnen de Belastingdienst over miljoenen burgers bij elkaar gebracht, aangevuld met informatie van bijvoorbeeld het Kadaster, de Kamer van Koophandel en de Dienst Wegverkeer. Met behulp van RAM kunnen medewerkers twintig jaar lang bijna onbeperkte grasduinen, informatie combineren en selecteren, op zoek naar burgers van wie ze vonden dat die extra aandacht van de belastinginspecteur verdienden.

Met RAM had een toezichtmedewerker een krachtig instrument om allerlei gegevens krachtig te combineren en selectieve dwarsdoorsnedes te maken

KPMG

Het systeem was cruciaal voor het toezicht op belastingbetalers, maar werd nauwelijks beveiligd en het gebruik werd niet gecontroleerd. Welke gegevens uit het systeem zijn opgehaald en wat daarbij is gebeurd, werden niet bijgehouden. Al deze risico's waren bekend binnen de Belastingdienst, maar werden geaccepteerd. Het gebruik van RAM werd niet gemeld door de Autoriteit Persoonsgegevens, hoewel dit wel verplicht was.

Nadat NRC in 2023 het gebruik van RAM had onthuld en de slordige omgang van de Belastingdienst met privacygevoelige gegevens had gekregen , kreeg consultants van KPMG de opdracht het gebruik van RAM te onderzoeken.

De resultaten hiervan, en meer dan vijftienhonderd pagina's aan interne documenten van het ministerie van Financiën die vrijgaf hebben, laten zien hoe grootschalig én slordig de Belastingdienst RAM gebruikt. Ook achterhaalde KPMG heeft nieuwe details opgemerkt. Zo blijkt dat elementen van het RAM-systeem nog tot 2021 werden gebruikt, hoewel het systeem in 2018 formeel werd uitgezet. Twee externe medewerkers, van ict-bedrijf CapGemini, kunnen uitschakelen bij alle RAM-gegevens – en dus alle gegevens van belastingplichtigen inzien.

KPMG vond in een oude RAM-uitdraai op een netwerkschijf van de Belastingdienst recentelijk nog een kopie van de FSV, de beruchte 'zwarte lijst' die een belangrijke rol speelde bij het onterecht stoppen van toeslagen in het Toeslagschandaal, en die volgens de Belastingdienst was uitgezet en niet meer toegankelijk was voor medewerkers.

Het kabinet-Rutte III viel in 2021 over het Toeslagenschandaal, waarin de Belastingdienst burgers ernstig werd benadeeld door slordige en discriminerende omgang met hun gegevens. Pieter Omtzigt, inmiddels partijleider van NSC, maakte naam met zijn niet aflatende kritiek op de behandeling van toeslagenouders door de Belastingdienst.

In andere omstandigheden zou RAM een nieuwe politieke en maatschappelijke nachtmerrie voor de Belastingdienst kunnen overwinnen. Want uit zijn rapport van driehonderd pagina's blijkt dat KPMG waarschijnlijk alleen het topje van de ijsberg heeft beschreven en dat het gebruik van RAM voor veel meer hamburgers nadelige gevolgen kan hebben, omdat ze tien potentiële als fraudeur werden gezien. Maar de politieke aandacht voor het onderwerp wordt beïnvloed.

Hoeveel burgers onterecht door RAM zijn bewerkt is niet transparant. Hoewel het systeem twintig jaar intensief werd gebruikt, is er door het slordige gebruik van RAM nauwelijks schriftelijke sporen van de gevolgen gevonden door KPMG.

RAM combineerde ongebreidelde toegang tot honderden gegevens met een bijna totaal gebrek aan controle

RAM combineerde ongebreidelde toegang tot honderden gegevens van individuele belastingbetalers met een bijna totaal gebrek aan controle op het gebruik van het systeem. Dat veroorzaakt volgens KPMG een „hoog risico op verlies of onrechtmatige inzage van gebruik” van gegevens, zonder kans dat dit ontdekt kan worden. Het waren risico's die binnen de dienst actief bekend waren. In 2017 concludeerde de Belastingdienst zelf: „Het proces is niet veilig ingericht. Van begin tot eind is een hoepelhandwerk waarbij veel mensen aan bod komen. Al deze mensen hebben toegang tot data waar zij geen toegang toe zouden moeten hebben.”

En dat waren niet zomaar gegevens. De Belastingdienst bezit van alle overheidsdiensten misschien wel de meeste en vertrouwelijkste gegevens, van alle Nederlanders. RAM bijvoorbeeld alle gegevens over inkomens, vermogens en schuld, hoeveel auto's, investeringen en vastgoed iemand heeft, gegevens van de (fiscale) partner, zoals de begindatum van de relatie, welke nationaliteit de partner heeft, wanneer die geëmigreerd is, en nog eens honderden andere gegevens.

Juist om die reden was RAM binnen de dienst een uiterst populair instrument dat intensief werd gebruikt. „Met RAM had een toezichtmedewerker een krachtig instrument om allerlei gegevens krachtig te combineren en selectieve dwarsdoorsnedes te maken”, schrijft KPMG. Het idee was dat de beperkte toezichtscapaciteit van de dienstgericht kon worden ingezet. De druk om belastingontduiking en fiscale fraude op te sporen was in deze jaren hoog. Een alternatief voor RAM bestond in de ogen van de dienst niet, zo vertelden medewerkers KPMG.

RAM, hoofdzakelijk enorme hoeveelheden data, maar de kwaliteit ervan was niet zeker, schrijft KPMG. Informatie in RAM kan soms een jaar oud zijn, en inspecteurs werken frequent met oude uitdraaien van RAM. Sommige gegevens werden helemaal niet meer ververst, maar blijven wel in RAM staan. Formele processen om de juistheid van gegevens in RAM te controleren waren er niet, correcties werden indirect indirect. Alle gewoontes zijn het risico vergroot dat burgers op de grond van beschadigde of verouderde informatie worden geselecteerd voor scherp toezicht.

KPMG vond dat drie algemene gebruikersaccounts niet herleidbaar waren tot een individuele medewerker

Op het onmogelijke in 2017 hadden tweehonderd medewerkers „autorisatie” om alle gegevens in RAM te bekijken. Maar in de praktijk hadden veel meer medewerkers toegang tot de gegevens. Om te beginnen vond KPMG drie algemene gebruikersaccounts die “niet herleidbaar zijn tot een individuele medewerker”. De onderzoekers kwamen er niet achter „wie over de inloggegevens van deze gebruikersaccounts beschikken”.

Ook konden geautoriseerde gebruikersgegevens uit RAM halen voor medewerkers zonder toegang en die „in onbeveiligd Excel-formaat op een USB-stick plaatsen of per e-mail sturen” naar collega's. Dat gebeurde op grote schaal, in 2017 waren er bijvoorbeeld 21.394 van zulke RAM-extracties. Beperkingen op het aanvragen van informatie heeft KPMG niet gevonden. De onbeveiligde bestanden kunnen door de ontvanger bewerkt en gedeeld worden, zonder technische beperkingen. Toen het gebruik van RAM na interne kritiek in 2017 werd ingeperkt, ontstond er volgens een intern rapport „informele circuits” zodat medewerkers toch bij RAM-gegevens konden komen.

De bergen informatie die zo werd verspreid, zwerven nog steeds rond, zo blijkt uit het KPMG-onderzoek. Hoewel RAM formeel al zeven jaar uit staat, en de Belastingdienst de interne schijven had geprobeerd op te schonen van achterblijvende RAM-informatie, vond KPMG na een digitale zoekactie op de netwerkschijven nog 1.170 onbeveiligde Excelbestanden met RAM-extracties (Het waren in totaal 2.662 bestanden, maar die waren deels dubbel). bestond opgeteld ruim 21 miljoen regels aan gegevens. Daarbij zat ook informatie die al jaren als uiterst gevoelige componenten, en dus niet onbeveiligd op netwerkschijven zou moeten staan ​​– strafrechtelijke informatie over burgers, informatie over nationaliteit én gegevens uit de 'zwarte lijst' FSV.

En er is zeker meer, zo blijkt uit gesprekken die KPMG met medewerkers vergelijken: „Wij hebben in interviews vernomen dat ook op lokale schijven en USB-sticks van medewerkers nu nog bestanden met RAM-selecties zouden kunnen worden opgeslagen”.

Waar deze uiterst privacygevoelige informatie uiteindelijk terechtkwam, en wat daarbij gebeurde, is niet te publiceren, schrijft KPMG. „Het is bij de meeste van deze documenten niet te herleiden wie deze analyses uitvoerde, hoe deze analyses werden uitgevoerd, hoe RAM daarvoor werd gebruikt, welke RAM-gegevens en extracties gebruikt, of deze analyses tot een toezichtproject verboden, welke burgers/bedrijven zijn geselecteerd en of uitleg is geweest van opvolgings- en handhavingsacties op basis van deze selecties van RAM-gegevens.”

Informatieverzoeken van buiten

Volgens KPMG staat ook dat de Belastingdienst vaak gegevens deelt met externe partijen. Gegevens uit RAM werden geleverd aan samenwerkingsverbanden met verschillende overheidsorganisaties, zoals het UWV, DUO, SVB, het Openbaar Ministerie, de politie, De Nederlandsche Bank, de ministeries van Justitie en Veiligheid, Binnenlandse Zaken en Sociale Zaken, gemeenten, de Koninklijke Marechaussee en de IND.

Daarbij lag de nadruk op het ondersteunen van opsporing en vervolging door andere overheidsdiensten van specifieke wetsovertredingen. Zo leverde de Belastingdienst onder meer data aan projecten voor de aanpak van vastgoedfraude, hennepteelt, witwassen, coffeeshops en growshops, mensensmokkel, schijnconstructies, adresfraude, „alle soorten fraude vanuit IND”, het „van straat halen van manipulatien”, projecten om gemeenten te helpen „de blinde vlekken te vinden in hun geschikte van controle-objecten voor toezicht en handhaving”.

Soms gaat het om uiterst specifieke informatieverzoeken. Zo vond KPMG een gegevenslevering aan een regionaal samenwerkingsverband tegen georganiseerde criminaliteit die ging over „een specifieke familie, naar aanleiding van een melding”. KPMG schrijft ook niet uit te kunnen sluiten dat andere diensten directe toegang tot het systeem hadden.

Onderbuikgevoel

De informatie die KPMG vond, geeft de indruk dat belastinginspecteurs hun onderbuik volgden bij besluiten om burgers aan extra onderzoek te onderwerpen. Dat gebeurde niet alleen door Chinese of Turkse ondernemers te selecteren, omdat ze vaker illegaal in dienst zouden hebben. „Nationaliteitsgegevens werden [als selectiemiddel] gebruikt als signalen aanwezig waren dat bepaalde binnenlandse fraudeurs”, vertelden verschillende belastingdienstmedewerkers aan KPMG.

Ook als gegevens over (tweede) nationaliteit niet expliciet als selectiemiddel werden gebruikt, werden ze toch opgenomen aan inspecteurs. Zo zat ze bij een derde van de onbeveiligde excelbestanden die KPMG op netwerkschijven van de Belastingdienst vond.

Andere flarden informatie die KPMG vond, gaf tegelijkertijd de indruk dat het gevoel van de belastinginspecteur en willekeur een rol speelde. Zo waren er projecten over de Beverwijkse bazaar, viskramen, woonwagenkampen, prostituees, 'Belgische pensionado's', faillissementen van Amsterdamse taxibedrijven en de vermeend gebrekkige belastingmoraal van gescheiden ondernemers.

Ook werden belastingplichtigen die in het verleden een straf of bestuursrechtelijke boete hadden gekregen, aangewezen voor extra toezicht. Want, ontbrekende inspecteurs tegen KPMG: „'Het bewezen feit' dat eerder 'iets mis' is geweest, [geeft] een dubbele kans dat mogelijk 'weer iets mis' is.” Overigens was deze strafrechtelijke informatie sinds 2016 niet meer in RAM bijgewerkt. Zo konden mensen die waren veroordeeld maar in hoger beroep waren vrijgesproken, via RAM toch „op basis van beperkte gegevens geselecteerd voor onderzoek”, concludeert KPMG.

De effecten van RAM op burgers zijn volgens KPMG niet te opvallend, omdat feitelijk gebruik van het systeem niet (systematisch) is vastgelegd

Wat nou? Donderdag debatteert de Tweede Kamer met staatssecretaris Tjebbe van Oostenbruggen (Belastingdienst, NSC). Die heeft naar aanleiding van het KPMG-onderzoek al gemeld dat „de Belastingdienst RAM niet had moeten en mogen gebruiken”, en dat hij dat „betreurt”.

Het kabinet laat aanvullend onderzoek doen naar de vraag of er met het gebruik van RAM grondrechten van individuele burgers zijn geschonden. De uitkomsten hiervan worden in juni verwacht.

Maar op de cruciale vraag wat de effecten van het RAM-gebruik voor burgers waren, zal volgens het KPMG-rapport geen bevredigend antwoord komen. „Omdat het gebruik niet (systematisch) is vastgelegd”, schrijft KPMG, is het „niet mogelijk” dat te ontdekken.

De enige manier om daar achter te komen is volgens KPMG om bij “elk boekenonderzoek, elke correctie op een aangifte of toeslag van elke (verzuim/vergrijp)boete, gedurende de 20-jarige gebruiksperiode van RAM [te onderzoeken] of, en hoe, RAM-gegevens worden gebruikt en welke mogelijke nadelige effecten zich hebben voorgedaan.” Een uitvoerbare opdracht, denkt het adviesbureau.

Een versie van dit artikel verscheen ook in de krant van 13 maart 2025 .